防止Redshift SQL注入
[英]Preventing Redshift SQL Injection
問題描述
我有一種不幸的情況,我必須通過串聯字符串來構建SQL字符串-經典的SQL注入方案。 我不能使用准備好的陳述。
如果我逃脫了'字符,我安全嗎? 還是還有其他攻擊媒介?
我使用的是MyBatis,它是${}表示法(與#{} ,它會生成准備好的語句)。 我對此別無選擇 -必須是${} 。 我不能使用准備好的陳述。
編輯:
增加一點清晰度; 這是ASW Redshift UNLOAD命令 。 UNLOAD的第一個參數是SQL字符串。
2 個解決方案
解決方案1
1 2015-03-14 04:42:08
PreparedStatement ( Wikipedia )確實是要走的路。 一口氣,您就消除了SQL注入黑客的大量工作和風險。
如果您絕對不能/不會使用PreparedStatement ,那么您需要閱讀各種策略。 您必須編寫大量檢查以檢查和修改您的輸入和SQL。 沒有銀彈 。 (實際上, PreparedStatement 是您的靈丹妙葯。但是沒有其他靈丹妙葯。)
Google搜索“消毒sql輸入”之類的項目。 您將找到以下資源:
- Bobby-Tables.com (告訴您使用PreparedStatement)。
- Wikipedia頁面上有關SQL注入的緩解部分 。
- 文章, 使用輸入清理來防止Web攻擊 。
- 文章, 如何防止SQL注入攻擊? ,並舉例說明如何凈化輸入是不夠的,並建議使用…是的,您猜對了:
PreparedStatement。
解決方案2
1 已采納 2015-03-16 02:57:14
(鑒於由於Redshift的限制,您無法正確執行此操作):
更多PostgreSQL standard_conforming_strings設置為on 所有你需要做的是雙引號,使得'到'' 。 而已。
除非關閉standard_conforming_strings或使用E''字符串,否則反斜杠並不重要。 如果其中任何一個是正確的,則必須改用反斜杠轉義。
由於Redshift基於古代PostgreSQL版本的分支,因此我不確定它如何應用於它。 閱讀有關其詞法結構和語法的文檔是明智的,以驗證它與PostgreSQL的工作方式一致。
使用命名參數會導致主要性能下降,並使用帶有本地sql的hibernate防止sql注入
[英]Major performance degradation with named parameters and preventing sql injection using hibernate with native sql
通過替換占位符而不是在查詢中附加用戶數據來防止SQL注入
[英]Preventing SQL injection by replacing place holders instead of appending user data in query
JDBI如何在防止SQL注入的同時動態創建WHERE子句?
[英]JDBI How can I dynamically create a WHERE clause while preventing SQL Injection?
當我使用Java preparestatement時,如何在防止SQL注入的同時將代碼重用到其他表?
[英]When I using java preparedstatement how can I reuse my codes to different table while preventing SQL injection?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.